Einführung
Zuletzt aktualisiert am 14. September 2019
Am 14. September 2019 tritt eine neue Verordnung in Kraft, die die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) für viele Online-Zahlungen im europäischen Wirtschaftsraum (EWR) verlangt. SCA ist Teil der zweiten Zahlungsdienstrichtlinie (second Payment Services Directive – PSD2).
Um die neuen Anforderungen der starken Kundenauthentifizierung zu erfüllen, ist für viele Online-Kartenzahlungen in Europa eine Form der Zwei-Faktor-Authentifizierung erforderlich. Ohne diese könnten zahlreiche Zahlungen von den Banken Ihrer Kunden/Kundinnen abgelehnt werden. Daher haben wir eine neue grundlegende Payments-API entwickelt, die Unternehmen dabei helfen soll, diese Änderung zu handhaben und jegliche Ausnahmen von der starken Kundenauthentifizierung geltend zu machen.
Mithilfe dieses Leitfadens können Sie ermitteln, wie verschiedene Arten von Zahlungsabläufen aufgrund der starken Kundenauthentifizierung geändert werden müssen. Zudem können Sie ihn bei der Entwicklung Ihrer Zahlungsabläufe zurate ziehen.
So ändert sich der Zahlungsvorgang
Kartenzahlungen erfolgen traditionell in zwei Schritten: Autorisierung und Erfassung. Eine Zahlung wird autorisiert, wenn die Kundenbank bzw. der Kartenaussteller eine Zahlung genehmigt; die Zahlung wird erfasst, wenn die Karte belastet wird.
Die starke Kundenauthentifizierung (SCA) führt einen zusätzlichen und zwingend erforderlichen Schritt vor der Autorisierung und Erfassung ein: die Authentifizierung. Dieser Schritt dient dem Schutz von Kunden durch Betrugsprävention. Zur Authentifizierung einer Zahlung reagieren Kunden auf eine Aufforderung der Bank und liefern zusätzliche Informationen. Hierbei kann es sich um etwas handeln, das nur der Nutzer weiß, wie z. B. ein Passwort, oder um etwas, das nur der Nutzer besitzt, wie z. B. ein Mobiltelefon, oder um etwas, das der Nutzer ist, wie z. B. deren Fingerabdruck.
Die am häufigsten verwendete Methode zur Authentifizierung einer Zahlung ist 3D Secure. 3D Secure wird auch in Zusammenhang mit Markennamen wie „Visa Secure“ bzw. „Mastercard Identity Check“ verwendet. Darüber hinaus gibt es eine neue Version, nämlich 3D Secure 2 und es wird erwartet, dass diese Version zur Standardmethode der Authentifizierung von Zahlungen wird. Weitere Informationen zu den Unterschieden zwischen diesen Methoden sind im 3D Secure 2-Leitfaden enthalten. 3D Secure 2 wird sowohl von unseren neuen Zahlungs-APIs, Stripe Billing, als auch der neuen Version von Stripe Checkout unterstützt.
Ganz gleich, welche Methode verwendet wird, müssen Kunden zur Authentifizierung eine aktive Sitzung vorweisen, was auch als „on-session“ bezeichnet wird. Dies bedeutet, dass Kunden Ihre Website oder App verwenden müssen. Das Hinzufügen dieses Schrittes ist für Unternehmen einfacher, die Kundenzahlungen sofort abwickeln. Für Unternehmen, bei denen Zahlungen erst abgewickelt werden, nachdem Kunden den Bezahlvorgang durchlaufen haben, ist dies komplexer. (Dies wird manchmal als „off-session“ bezeichnet.)
Die Szenarien in diesem Leitfaden geben Beispiele dazu, wie sich diese drei Schritte (Authentifizierung, Autorisierung und Erfassung) unterscheiden können, je nachdem, wie und wann Kundenzahlungen abgewickelt werden.
-
AuthentifizierenEin Kunde authentifiziert eine Online-Zahlung.
Ein Kunde reagiert auf eine 3D Secure-Eingabeaufforderung von der Bank und liefert zusätzliche Informationen, um die Zahlung zu authentifizieren. Siehe 3D Secure aus der Kundenperspektive.
Die Authentifizierung ist erforderlich, wenn keine Ausnahme für eine Zahlung geltend gemacht werden kann bzw. wenn die Kundenbank die Anforderung einer Ausnahme ablehnt. Unsere neuen Payments-APIs fordern automatisch alle zutreffenden Ausnahmen an, bevor der Authentifizierungsschritt hinzugefügt wird. Dies vereinfacht den Bezahlvorgang und beugt einem Einbruch der Konversionsrate vor.
Hinweis: Die Authentifizierung muss durchgeführt werden, wenn Kunden sich noch in der Sitzung befinden bzw. wenn diese Ihre Website oder App verwenden. Daher erfolgt dieser Schritt für gewöhnlich, wenn Kunden das Zahlungsformular ausfüllen.
-
Bis zu 7 Tage
Der Zeitraum zwischen Autorisierung und Erfassung kann bis zu sieben Tage betragen. Viele Unternehmen erfassen eine Zahlung jedoch sofort nach der Autorisierung.
Hinweis: Eine Kundenbank gibt eine Zahlung möglicherweise als „ausstehend“ an, wenn diese autorisiert, jedoch nicht erfasst wurde.
-
ErfassenDas Unternehmen belastet die Kundenkarte und schließt die Zahlung ab.
Überblick über Ausnahmen
Einige Zahlungsarten – wie beispielsweise Transaktionen mit geringem Risiko, Abonnements mit einem festen Betrag, Telefonbezahlung oder von Händlern initiierte Transaktionen – sind von der SCA ausgenommen. Bei von Händlern veranlassten Transaktionen handelt es sich um Zahlungen, die mithilfe einer gespeicherten Karte erfolgen, ohne dass Kunden/Kundinnen sich in einer Sitzung befinden. Übliche Beispiele hierfür sind Zahlungen für Mitgliedschaften im Fitnessstudio oder Gas-, Wasser- oder Stromrechnungen. Um diese Ausnahme geltend machen zu können, muss Ihr Unternehmen eine Kundenvereinbarung haben, wobei die Authentifizierung der Karte der Person erfolgt, wenn diese gespeichert oder für die erste Zahlung authentifiziert wird. Unser Leitfaden für die starke Kundenauthentifizierung (SCA) enthält weitere Einzelheiten zu diesen und anderen Ausnahmen.
Stripe hat Zahlungs-APIs und Produkte, die die starke Kundenauthentifizierung unterstützen, entwickelt, um Unternehmen dabei zu helfen, die Möglichkeiten voll auszuschöpfen, indem automatisch Ausnahmen angefordert werden. Sobald die Ausnahmen von den Banken der Kunden/Kundinnen genehmigt werden, ist eine Authentifizierung durch diese nicht mehr erforderlich, was die Auswirkungen auf Konversionen minimiert.
Unternehmen können sich jedoch nicht auf Ausnahmen verlassen und müssen ihren Zahlungsfluss so konzipieren, dass die Kundenauthentifizierung, wenn erforderlich, erfolgt. Grund hierfür ist, dass die Richtlinien bezüglich Ausnahmen von den Banken der Kunden abhängig sind. Die Banken beurteilen jede Zahlung und entscheiden, ob eine Ausnahme geltend gemacht werden kann – und die Handhabung von Ausnahmen ist von Bank zu Bank unterschiedlich.
Geschäftsszenarien
Um die Auswirkungen und Geltungsbereiche der SCA darzustellen, haben wir zusammengefasst, wie ein Authentifizierungsschritt in Zahlungsabläufe für verschiedene Geschäftsmodelle integriert werden kann.
E-Commerce-Unternehmen buchen Zahlungen von Kunden normalerweise ab, wenn diese online sind, ohne Einzelheiten zur verwendeten Karte für die Zukunft zu speichern. Wenn Ihr Unternehmen über einen ähnlichen Zahlungsablauf verfügt, ist das Hinzufügen der Authentifizierung leicht: Die Authentifizierung mit 3D Secure erfolgt, sobald Kunden ihre Kartenangaben eingegeben und ihre Bestellung aufgegeben haben.
Stripe fordert automatisch jegliche zutreffenden Ausnahmen an, sodass möglicherweise gar keine Kundenauthentifizierung erforderlich ist. Da einzelne Banken jedoch Ausnahmen unterschiedlich anwenden, muss Ihr Unternehmen weiterhin Zahlungsabläufe für die Kundenauthentifizierung konzipieren und die Möglichkeit berücksichtigen, dass Kunden für die erneute Authentifizierung zur Online-Sitzung zurückgebracht werden müssen.
-
Bestellung aufgegeben
Elisa gibt die Informationen zu ihrer Karte und zum Versand ein. Der Gesamtbetrag beläuft sich auf 29 SEK einschließlich MwSt.
-
Authentifizieren29 SEK mit 3D Secure authentifiziert
Elisa schließt die 3D Secure-Authentifizierung ab.
-
Erfassen29 SEK erfasst
-
Bestellung versandt
Empfehlungen
Wählen Sie eine Option:
Nutzen Sie vordefinierte, konversionsoptimierte Bezahlvorgänge mit minimalem Code.
Dokumentation lesenErstellen Sie dynamische Zahlungsabläufe und machen Sie mögliche Ausnahmen geltend.
Dokumentation lesenFahrdienstvermittler und andere Bedarfsmärkte erfassen Zahlungen für gewöhnlich innerhalb von sieben Tagen nach der Autorisierung und der Endbetrag kann höher oder niedriger ausfallen. Wenn Ihr Unternehmen einen ähnlichen Zahlungsablauf verwendet, kann die 3D Secure-Authentifizierung sofort nach der Anforderung einer Fahrt erfolgen, da Kunden zu dem Zeitpunkt noch online sind. Wenn der Endbetrag über dem zunächst authentifizierten Betrag liegt, müssen Kunden den höheren Betrag erneut authentifizieren. Wenn der Endbetrag unter dem anfänglich authentifizierten Betrag liegt, ist keine erneute Authentifizierung erforderlich.
Eine andere Möglichkeit, diesen Zahlungsablauf anzugehen, ist es, einen höheren Betrag zu authentifizieren und zu autorisieren, sobald Kunden eine Fahrt anfordern. Wenn Kunden später ein Trinkgeld hinzufügen möchten und der Gesamtbetrag unter dem authentifizierten Betrag liegt, ist keine weitere Authentifizierung erforderlich. Die Kehrseite hierzu ist, dass die anfängliche Authentifizierung eines höheren Betrags möglicherweise preisbewusste Kunden abschreckt.
Stripe fordert automatisch jegliche zutreffenden Ausnahmen an, sodass möglicherweise gar keine Kundenauthentifizierung erforderlich ist. Da einzelne Banken jedoch Ausnahmen unterschiedlich anwenden, muss Ihr Unternehmen weiterhin Zahlungsabläufe für die Kundenauthentifizierung konzipieren und die Möglichkeit berücksichtigen, dass Kunden für die erneute Authentifizierung zur Online-Sitzung zurückgebracht werden müssen.
-
Fahrt angefordert
Sami öffnet die App und fordert eine Fahrt für 20 SEK an.
-
Authentifizieren20 SEK mit 3D Secure authentifiziert
Sami schließt die 3D Secure-Authentifizierung ab.
-
Fahrgast abgeholt und abgesetzt
Ein Fahrer holt Sami ab und bringt ihn an seinen Zielort.
-
Trinkgeld hinzugefügt
Er öffnet die App, bewertet den Fahrer und fügt ein Trinkgeld von 3 SEK hinzu.
-
Authentifizieren23 SEK (20 SEK für die Fahrt + 3 SEK Trinkgeld) mit 3D Secure authentifiziert
Sami schließt die 3D Secure-Authentifizierung ab.
-
Erfassen23 SEK erfasst
Empfehlung
Erstellen Sie dynamische Zahlungsabläufe und machen Sie mögliche Ausnahmen geltend.
Dokumentation lesenCrowdfunding-Plattformen erfassen Zahlungen normalerweise mehr als sieben Tage nach der Autorisierung. Jede Kampagne hat eine bestimmte Laufzeit und Zahlungen werden nach erfolgreichem Abschluss der Kampagne erfasst. Wenn Ihr Unternehmen über einen ähnlichen Zahlungsablauf verfügt, können Sie die 3D Secure-Authentifizierung durchführen, wenn Kunden einen Spendenbetrag zur Unterstützung der Kampagne eingeben und diesen dann autorisieren und erfassen, wenn die Kampagne erfolgreich abgeschlossen ist. Wenn die Autorisierung fehlschlägt, muss Ihr Unternehmen die Kunden zur erneuten Authentifizierung zur Online-Sitzung zurückbringen.
Stripe fordert automatisch jegliche zutreffenden Ausnahmen an, aber da einzelne Banken Ausnahmen unterschiedlich anwenden, muss Ihr Unternehmen weiterhin Zahlungsabläufe für die Authentifizierung von Kunden konzipieren und die Möglichkeit berücksichtigen, dass Kunden für die erneute Authentifizierung zur Online-Sitzung zurückgebracht werden müssen.
-
Kampagne gestartet
-
Spendenbetrag eingegeben
Luka unterstützt die Kampagne und spendet 40 SEK.
-
AuthentifizierenKarte mit 3D Secure authentifiziert
Luka gibt seine Kartendetails ein und schließt die 3D Secure-Authentifizierung ab.
-
30 Tage vergehen
-
Kampagne abgeschlossen
Lukas Karte wird belastet, sobald die Kampagne erfolgreich abgeschlossen ist.
-
Erfassen40 SEK erfasst
-
Spendenbetrag eingegeben
Luka unterstützt eine Crowdfunding-Kampagne und spendet 40 SEK.
-
AuthentifizierenKarte mit 3D Secure authentifiziert
Luka gibt seine Kartendetails ein und schließt die 3D Secure-Authentifizierung ab.
-
30 Tage vergehen
-
Kampagne abgeschlossen
Lukas Karte wird belastet, sobald die Kampagne erfolgreich abgeschlossen ist.
-
AblehnenDie Authentifizierung ist aufgrund einer abgelaufenen Karte fehlgeschlagen und eine erneute Authentifizierung ist erforderlich
-
E-Mail gesendet
Luka öffnet eine E-Mail von der Crowdfunding-Website und klickt auf den Link.
-
Informationen aktualisiert
Er kehrt zur Crowdfunding-Website zurück und gibt neue Kartenangaben ein.
-
Authentifizieren40 SEK mit 3D Secure authentifiziert
Luka schließt die 3D Secure-Authentifizierung ab.
-
Erfassen40 SEK erfasst
Empfehlung
Erstellen Sie dynamische Zahlungsabläufe und machen Sie mögliche Ausnahmen geltend.
Dokumentation lesenAutovermietungen erfassen Zahlungen für gewöhnlich mehr als sieben Tage nach der Autorisierung und der endgültige Zahlungsbetrag ändert sich oft aufgrund von Rabatten, Upgrades oder zusätzlichen Dienstleistungen bei Abholung oder Abgabe. Wenn Ihr Unternehmen einen ähnlichen Zahlungsablauf verwendet, können Sie die Zahlung in separate Beträge unterteilen, zunächst die 3D Secure-Authentifizierung der Karte durchführen während sie gespeichert wird und die Kosten des Mietwagens autorisieren und erfassen, um eventuelle spätere Zusatzkosten abzudecken.
Stripe fordert automatisch jegliche zutreffenden Ausnahmen an, sodass Kunden/Kundinnen die Zahlung nicht authentifizieren müssen. Da einzelne Banken jedoch Ausnahmen unterschiedlich anwenden, muss Ihr Unternehmen weiterhin Zahlungsabläufe für die Kundenauthentifizierung konzipieren und die Möglichkeit berücksichtigen, dass Kunden/Kundinnen für die erneute Authentifizierung zur Online-Sitzung zurückgebracht werden müssen.
-
Auto reserviert
Emma mietet für ihren anstehenden Urlaub ein Auto.
-
AuthentifizierenKarte mit 3D Secure authentifiziert
Emma gibt ihre Kartendetails ein und schließt die 3D Secure-Authentifizierung ab.
-
Auto abgeholt
-
Über 7 Tage vergehen
-
Fahrzeug zurückgegeben
Sie gibt das Fahrzeug ohne zu tanken zurück, was zu einer Gebühr von 50 SEK führt.
-
Erfassen350 SEK erfasst (Reservierung) 50 SEK erfasst (Benzingebühr)
Empfehlung
Erstellen Sie dynamische Zahlungsabläufe und machen Sie mögliche Ausnahmen geltend.
Dokumentation lesenBei Mitgliedschaften im Fitnessstudio handelt es sich für gewöhnlich um wiederkehrende Zahlungen mit einem festen Betrag und die Mitgliedschaft kann mit einer kostenlosen Probezeit beginnen. Wenn Ihr Unternehmen einen ähnlichen Zahlungsablauf verwendet, ist für die erste Zahlung zu Beginn des Abonnements eine 3D Secure-Authentifizierung erforderlich. Stripe fordert automatisch für alle anschließenden Zahlungen Ausnahmen an. In diesem Szenario fallen die Zahlungen möglicherweise unter Ausnahmen für Abonnements mit einem Festbetrag und vom Händler initiierte Transaktionen. Wenn die Kundenbank die Ausnahme akzeptiert, müssen Ihre Kunden nicht jede monatliche Zahlung authentifizieren.
Bei von Händlern initiierten Transaktionen handelt es sich um Zahlungen mit einer gespeicherten Karte, wenn sich Kunden nicht in einer Online-Sitzung befinden. Um sich hierfür zu qualifizieren, muss Ihr Unternehmen über eine entsprechende Vereinbarung mit Kunden verfügen und diese müssen ihre Karte entweder beim Speichern der Informationen oder bei der ersten Zahlung authentifizieren.
Sie sollten beachten, dass Ausnahmen nicht garantiert sind und dass anschließende Zahlungen möglicherweise authentifiziert werden müssen. Einzelne Banken wenden Ausnahmen unterschiedlich an, sodass Ihr Unternehmen Zahlungsabläufe konzipieren muss, die Kunden für die erneute Authentifizierung zur Online-Sitzung zurückbringen.
-
Mitgliedschaft beginnt
Imani gibt ihre E-Mail-Adresse und Kartenangaben ein, um dem Fitnessstudio vor Ort für 50 SEK pro Monat beizutreten.
-
Authentifizieren50 SEK mit 3D Secure authentifiziert
Imani schließt die 3D Secure-Authentifizierung ab.
-
Erfassen50 SEK erfasst
-
30 Tage vergehen
-
Mitgliedschaft läuft weiter
Imani nimmt an Fitnesskursen teil und geht oft ins Fitnessstudio.
-
Erfassen50 SEK erfasst
-
Probezeit beginnt
Imani tritt ihrem Fitnessstudio vor Ort für 50 SEK pro Monat bei. Sie gibt ihre E-Mail-Adresse und Kreditkartenangaben ein, sodass ihre Mitgliedschaft sofort nach der 7-tägigen Probezeit beginnt.
-
Authentifizieren50 SEK mit 3D Secure authentifiziert
Imani schließt die 3D Secure-Authentifizierung ab.
-
7 Tage vergehen
-
Probezeit endet und Mitgliedschaft beginnt
Imanis Karte wird nach Ablauf der Probezeit automatisch belastet.
-
Erfassen50 SEK erfasst
-
30 Tage vergehen
-
Mitgliedschaft läuft weiter
Imani nimmt an Fitnesskursen teil und geht oft ins Fitnessstudio.
-
AblehnenAutorisierung fehlgeschlagen, erneute Authentifizierung erforderlich
-
E-Mail gesendet
Imani öffnet eine E-Mail und klickt auf einen Link.
-
Informationen aktualisiert
Sie kehrt zur Website des Fitnessstudios zurück und gibt neue Kartenangaben ein.
-
Authentifizieren50 SEK mit 3D Secure authentifiziert
Imani schließt die 3D Secure-Authentifizierung ab.
-
Erfassen50 SEK erfasst
Empfehlungen
Wählen Sie eine Option:
Verwalten Sie Ihre Abonnements und nutzen Sie automatisierte Tools, um die SCA-Anforderungen zu erfüllen.
Dokumentation lesenErstellen Sie dynamische Zahlungsabläufe und machen Sie mögliche Ausnahmen geltend.
Dokumentation lesenBei Gas-, Wasser- und Stromrechnungen handelt es sich um wiederkehrende Zahlungen mit Beträgen, die aufgrund von nutzungsbasierter Abrechnung wahrscheinlich von Monat zu Monat unterschiedlich sind. Wenn Ihr Unternehmen einen ähnlichen Zahlungsablauf verwendet, ist die 3D Secure-Authentifizierung erforderlich, wenn Kunden ihre Karte für automatische Zahlungen speichern.
Stripe fordert für nachfolgende Zahlungen automatisch Ausnahmen an. In diesem Fall kommt für die Zahlung möglicherweise eine Ausnahme für eine vom Händler initiierte Transaktion infrage. Wenn die Kundenbank die Ausnahme akzeptiert, müssen Ihre Kunden/Kundinnen nicht jede monatliche Zahlung authentifizieren.
Sie sollten beachten, dass Ausnahmen nicht garantiert sind und dass anschließende Zahlungen möglicherweise authentifiziert werden müssen. Einzelne Banken wenden Ausnahmen unterschiedlich an, sodass Ihr Unternehmen Zahlungsabläufe konzipieren muss, die Kunden/Kundinnen für die erneute Authentifizierung zur Online-Sitzung zurückbringen, falls erforderlich.
-
Konto eingerichtet
Salim zieht in eine neue Wohnung und meldet sich für die automatische Zahlung seiner monatlichen Stromrechnung an.
-
Karte gespeichert
Salim hinterlegt seine Karte in seinem Konto.
-
AuthentifizierenAutomatische Abrechnung mit 3D Secure bestätigt
Salim schließt die 3D Secure-Authentifizierung ab.
-
30 Tage vergehen
-
Rechnung erhalten
Salim erhält eine E-Mail von seinem Stromanbieter mit dem Hinweis auf eine geplante Zahlung von 63 SEK.
-
Erfassen63 SEK erfasst
-
30 Tage vergehen
-
Rechnung erhalten
Salim erhält eine E-Mail von seinem Stromanbieter mit dem Hinweis auf eine geplante Zahlung von 91 SEK.
-
AblehnenAutorisierung fehlgeschlagen, erneute Authentifizierung erforderlich
-
E-Mail gesendet
Salim erhält eine E-Mail vom Stromanbieter mit einer Rechnung über 91 SEK und klickt auf den Link.
-
Authentifizieren91 SEK mit 3D Secure authentifiziert
Salim schließt die 3D Secure-Authentifizierung ab.
-
Erfassen91 SEK erfasst
-
Rechnung erhalten
Salim erhält eine E-Mail vom Stromanbieter mit einer Rechnung über 63 SEK und klickt auf den Link.
-
Authentifizieren63 SEK mit 3D Secure authentifiziert
Salim schließt die 3D Secure-Authentifizierung ab.
-
Erfassen63 SEK erfasst
-
30 Tage vergehen
-
Rechnung erhalten
Salim erhält eine E-Mail vom Stromanbieter mit einer Rechnung über 91 SEK und klickt auf den Link.
-
Authentifizieren91 SEK mit 3D Secure authentifiziert
Salim schließt die 3D Secure-Authentifizierung ab.
-
Erfassen91 SEK erfasst
Empfehlungen
Wählen Sie eine Option:
Verwalten Sie Ihre Abonnements und nutzen Sie automatisierte Tools, um die SCA-Anforderungen zu erfüllen.
Dokumentation lesenErstellen Sie dynamische Zahlungsabläufe und machen Sie mögliche Ausnahmen geltend.
Dokumentation lesen